Configuration d'AD FS pour IFD

 

Date de publication : janvier 2017

S’applique à : Dynamics 365 (on-premises), Dynamics CRM 2016

Après avoir activé IFD sur le Microsoft Dynamics 365 Server, vous devez créer une partie de confiance pour le point de terminaison IFD sur le serveur AD FS.

Configuration d'approbations de partie de confiance

1. Sur l’ordinateur qui exécute Windows Server sur lequel le serveur de fédération AD FS est installé, démarrez Gestion AD FS.

2. Dans le Volet de navigation, développez Relations d'approbation, puis cliquez sur Approbations des parties de confiance.

3. Dans le menu Actions situé dans la colonne de droite, cliquez sur Ajouter l’approbation d’une partie de confiance.

4. Dans l’Assistant Ajouter l’approbation d’une partie de confiance, cliquez sur Démarrer.

5. Dans la page Sélectionner la source de données, cliquez sur Importez les données sur la partie de confiance possèdent en ligne ou sur un réseau local, puis tapez l'URL permettant de localiser le fichier federationmetadata.xml.

   Cette métadonnées de fédération sont créées lors de la configuration d'IFD, par exemple, https://auth.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml.

   Tapez cette URL dans votre navigateur et vérifiez qu'aucun avertissement relatif au certificat n'apparaît.

6. Cliquez sur Suivant.

7. Dans la page Spécifier le nom complet, tapez un nom complet, comme Dynamics 365 IFD Relying Party, puis cliquez sur Suivant.

8. Dans la page Configurer l'authentification à plusieurs facteurs maintenant, faites votre sélection et cliquez sur Suivant.

9. Dans la page Choisir les règles de délivrance des autorisations, cliquez sur Autoriser tous les utilisateurs à accéder à cette partie de confiance, puis cliquez sur Suivant.

10. Dans la page Prêt à ajouter l’approbation, sous l'onglet Identificateurs, vérifiez que l'option Identificateurs de partie de confiance a trois identificateurs, comme :

    • https://auth.contoso.com

    • https://orgname.contoso.com

    • https://dev.contoso.com

    Si vos identificateurs sont différents de l'exemple ci-dessus, cliquez sur Précédent dans Assistant Ajouter l’approbation d’une partie de confiance et activez l'adresse des métadonnées de fédération.

11. Cliquez sur Suivant, puis sur Fermer.

12. Si l'éditeur de règles apparaît, cliquez sur Ajouter une règle. Sinon, dans la liste Approbations des parties de confiance, cliquez avec le bouton droit sur l’objet de partie de confiance créé, sur Modifier les règles de revendications, puis sur Ajouter une règle.

    Important

    Assurez-vous que l'onglet Règles de transformation d'émission est sélectionné.

13. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer ou filtrer une revendication entrante et puis cliquez sur Suivant :

14. Créez la règle suivante :

    • Nom de la règle de revendication : Pass Through UPN (ou descriptif plus précis)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrante : UPN

      2. Transférer toutes les valeurs des revendications

15. Cliquez sur Terminer.

16. Dans l'Éditeur de règles, cliquez sur Ajouter une règle, dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer ou filtrer une revendication entrante, puis cliquez sur Suivant.

    • Nom de la règle de revendication : Pass Through Primary SID (ou descriptif plus précis)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrante : SID principal

      2. Transférer toutes les valeurs des revendications

17. Cliquez sur Terminer.

18. Dans l'éditeur de règles, cliquez sur Ajouter une règle.

19. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer une revendication entrante et puis cliquez sur Suivant :

20. Créez la règle suivante :

    • Nom de la règle de revendication : Transform Windows Account Name to Name (ou descriptif plus précis)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrant : Nom du compte Windows

      2. Type de revendication sortante : Nom

      3. Transférer toutes les valeurs des revendications

21. Cliquez sur Terminer, puis lorsque vous avez créé les trois règles, cliquez sur OK pour fermer l’Éditeur de règles.

Pour Windows Server 2016, exécutez une applet de commande

Si votre serveur AD FS exécute Windows Server 2016, exécutez l'applet de commande Windows PowerShell suivante :

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

1. ClientRoleIdentifier : ID client de votre client Adfs. Par exemple : e8ab36af-d4be-4833-a38b-4d6cf1cfd525

2. ServerroleIdentified : identificateur de votre partie de confiance. Par exemple : https://adventureworkscycle3.crm.crmifd.com/

Pour plus d'informations, voir Grant-AdfsApplicationPermission.

Voir aussi

Implémentation de l'authentification basée sur les revendications : accès externe

© 2017 Microsoft. Tous droits réservés. Copyright